Responsible Disclosure Statement

De veiligheid van onze systemen is erg belangrijk. We doen er alles aan om deze systemen goed te beveiligen, daar kun je op vertrouwen. Toch kan het voorkomen dat er een zwakke plek is in de beveiliging. Als je een zwakke plek in één van onze systemen vindt, dan horen wij dit graag. Zo kunnen wij zo snel mogelijk maatregelen treffen. Je helpt daarmee onze verzekerden en je helpt ons de systemen beter te beschermen.

Wat je doet als je een zwakke plek vindt in onze systemen

  • Stuur jouw bevinding zo snel mogelijk door via:
    https://app.zerocopter.com/nl/rd/bda542d5-c421-49f8-8e9c-5e70f5525673.
  • Deel de melding op een vertrouwelijke manier met ons om te voorkomen dat anderen ook toegang krijgen tot deze informatie.
  • Geef genoeg informatie zodat wij het probleem kunnen nabootsen. Zo kunnen wij het zo snel mogelijk oplossen. Het IP-adres of het webadres van het getroffen systeem en een omschrijving van de zwakke plek is vaak genoeg. Maar bij ingewikkelde problemen kan meer nodig zijn.
  • Vertel niemand anders over de kwetsbaarheid of het probleem totdat het is opgelost.
  • Plaats geen eigen ‘backdoor’ in een informatiesysteem om daarmee de kwetsbaarheid aan te tonen. Dit kan extra schade opleveren en onnodige veiligheidsrisico’s veroorzaken.
  • Misbruik een kwetsbaarheid niet meer dan noodzakelijk is om de zwakke plek te bepalen.
  • Kopieer, verwijder of pas geen gegevens aan van het systeem. Wat wel kan is een ‘directory listing’ van een systeem te maken.
  • Pas het systeem niet aan.
  • Probeer niet vaker toegang tot het systeem te krijgen en deel de toegang niet met anderen.
  • Maak geen gebruik van ‘bruteforce attacks’, ‘social engineering’, aanvallen op fysieke beveiliging, ‘distributed denial of service’, spam of applicaties van derden om toegang te krijgen tot systemen.

Wat wij doen met jouw bevinding

  • Jouw melding wordt vertrouwelijk behandeld en jouw persoonlijke gegevens worden niet zonder jouw toestemming met anderen gedeeld. Uitzondering hierop is als de wet hierom vraagt. Anoniem melden of onder een pseudoniem is mogelijk.
  • Wij reageren binnen 5 dagen op jouw melding met onze beoordeling en een verwachte datum voor een oplossing.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem. 
  • We zijn blij dat je de moeite neemt om een melding te maken en werken graag met jouw samen.  Maar houdt je zich niet aan bovenstaande voorwaarden? Dan kan het zijn dat we juridische stappen ondernemen. Als je dat wilt, treden wij naar buiten treden met nieuws over het gemelde probleem met jouw naam als de ontdekker.
  • Wij proberen alle problemen zo snel mogelijk op te lossen. Nadat het probleem is opgelost worden wij graag betrokken bij een bekendmaking.

Dit Responsible Disclosure beleid is gebaseerd op een voorbeeld geschreven door Floor Terra en de Leidraad responsible disclosure van het NCSC.